Token+JWT+Redis 实现鉴权机制
使用 Token、JWT 和 Redis 来实现鉴权机制是一种常见的做法,尤其适用于分布式应用或微服务架构。下面是一个大致的实现思路:
1. Token 和 JWT 概述
Token:通常是一个唯一的字符串,可以用来标识用户的身份。
JWT (JSON Web Token):是一种自包含的、轻量级的认证方式。它由三个部分组成:
Header:包含算法信息(如 HMAC SHA256 或 RSA)和 Token 类型。
Payload:包含声明信息(如用户 ID、过期时间等)。
Signature:用于验证 Token 是否被篡改。
2. Token + JWT + Redis 鉴权机制
这个机制大体分为以下几个步骤:
步骤 1:用户登录并生成 JWT
-
用户输入用户名和密码进行登录。
-
服务端验证用户信息(用户名和密码)是否正确。
-
如果验证通过,服务端生成 JWT Token:
使用用户的 ID、角色、权限等信息作为 Payload。设置过期时间(例如 1 小时)作为 Token 的有效期。使用一个密钥(例如 secretKey)对 Token 进行签名。
示例 JWT 生成代码(Node.js + jsonwebtoken 库):
const jwt = require('jsonwebtoken');const user = { id: 123, username: 'test' }; // 用户信息
const secretKey = 'your_secret_key'; // 密钥
const token = jwt.sign(user, secretKey, { expiresIn: '1h' });
服务端将生成的 Token 返回给客户端,客户端将 Token 存储在本地(通常是 localStorage 或 sessionStorage)。
步骤 2:客户端发送请求时携带 JWT
客户端在每次请求时,将 Token 添加到 HTTP 请求头中,通常是 Authorization 字段:
Authorization: Bearer <your_jwt_token>
步骤 3:服务端验证 JWT
每次服务端收到请求时,会验证请求头中的 Token 是否有效。
服务端首先检查 JWT 的签名和过期时间:
使用密钥验证 JWT 的签名。
如果 JWT 已经过期,拒绝请求,并提示重新登录。
示例 JWT 验证代码:
try {const decoded = jwt.verify(token, secretKey); // 解码并验证签名console.log(decoded); // decoded 包含用户信息
} catch (error) {// 处理验证失败(如过期、无效等情况)res.status(401).send('Unauthorized');
}
除了验证 JWT 本身,服务端还可以通过 Redis 来检查 Token 是否在服务端有效。
步骤 4:使用 Redis 存储和验证 JWT
Redis 用于存储和管理 JWT Token,特别是当需要支持 Token 黑名单、Token 强制失效等功能时。
存储 JWT 到 Redis:
在用户登录时,将 JWT 存储到 Redis,使用用户 ID 或者 Token 本身作为键,设置一个过期时间与 JWT 的有效期一致。
示例代码(Node.js + ioredis 库):
const Redis = require('ioredis');
const redis = new Redis();// 假设 JWT 是 token,用户 ID 是 user.id
redis.set(`token:${user.id}`, token, 'EX', 3600); // 设置过期时间为 1 小时
验证 Token 是否在 Redis 中:
在每次请求时,服务端可以通过 Redis 查找 Token 是否存在。如果 Token 不存在,说明用户的 Token 已经失效(比如被登出或超时)。
示例代码:
const tokenFromRequest = req.headers['authorization'].split(' ')[1]; // 获取请求中的 Tokenredis.get(`token:${userId}`).then(redisToken => {if (!redisToken || redisToken !== tokenFromRequest) {// Token 不存在或已失效,返回 401return res.status(401).send('Unauthorized');}// Token 验证通过,继续处理请求next();
});
步骤 5:登出操作
登出操作:用户主动登出时,服务端可以将该用户的 Token 从 Redis 中删除,确保该 Token 不能再被使用。
示例代码:
redis.del(`token:${userId}`);
Token 过期:由于 Redis 存储的 Token 设置了过期时间,当 Token 超过有效期时,Redis 会自动删除该 Token。
3. 优势和扩展
Token:能够轻松支持无状态的鉴权,不需要在每个请求中携带用户的会话信息。
JWT:自包含的认证信息,不需要在服务器端存储会话状态,减少了数据库压力。
Redis:用于存储和管理 Token,提供高效的访问和强制失效控制。
总结
通过结合 Token、JWT 和 Redis,我们可以实现一个高效且可扩展的鉴权机制,支持无状态认证、Token 过期控制、强制登出等功能。